我们正在寻找在我们的(Win 2003)AD层次结构中添加一些逻辑结构。 我们有一个域名和大约500个用户。 所有用户和计算机当前组织成一个OU。 所有安全和分发组都在第二个OU中。 团体成员基本上是以个人用户为基础的,没有团体嵌套。
我的问题:
以下是微软AD逻辑devise推荐的核心原则:
首先进行控制委派的devise,因为这是基于AD权限,是最不灵活的轴修改。 如果你不是在委托控制,那么不要担心这个问题(不过我会为此做好准备 – 即使在一个小型的组织中,你可能需要分支机构的指定用户来重置密码,等等)。
devise组策略的第二个应用。 按安全组成员身份筛选组策略应用程序允许GPO仅应用于目录中链接点以下的用户或计算机对象的子集,因此此轴比AD权限具有更多的灵活性。
devise最后的组织和易用性。 轻松find自己和其他pipe理员的东西。
在devise时考虑这些考虑事项中的每一个,根据build议优先考虑它们。 稍后(比较)很容易做出改变,而且在第一次尝试时你永远不会“正确地做到”。 在我甚至在我的第一个域控制器DCPROMO之前,我通常会在纸上或白板上绘制出build议的结构,并在潜在的使用场景中查看我的devise是否“搁置”。 这是摆脱devise中的问题的好方法。
(不要忘记站点对象上的组策略应用,当你在站点链接GPO时,你必须小心跨域GPO应用,但是如果你是一个单一的域环境,你可以得到很多好的function没有将GPO链接到网站上,通过一些示例场景,我发现加载具有“站点特定”设置的软件或者在某些特定login脚本在用户login到计算机时提供特定的login脚本物理位置,通过环回组策略处理。)
我总是将用户,计算机和组拆分为不同的OU,原因很简单,因为它使pipe理更容易。
如果您没有具体的AD结构的强制性理由,那么从pipe理的angular度来devise您的AD。 考虑你将在哪里应用政策。
如果您在部门级别应用大部分策略,请使用Department \ Location \ Object
如果您在位置级别应用大部分策略,请使用Location \ Department \ Object
如果你以另一种方式来做,那就意味着你将不得不在多个OU上连接你的政策,这就涉及到不必要的工作。
嵌套组是非常好的,再一次使AD的pipe理更容易。
我倾向于在deviseAD结构时考虑到“易于pipe理”,而不是反映实体公司的结构,但两者往往是相同的。
我想,如果我不得不重新devise我的广告,我会做一些不同的事情,但我发现:
用户 – 将这些数据分解成部门,也可以分配给临时或机构人员。 这些位置不会像毫无疑问,人们会走动一样重要。
计算机 – 将它们分成位置和子位置。 即OfficeComputers / LondonOffice / Room103(金融)。 这意味着您可以将设置应用到一个位置或办公室 – 例如不同的代理服务器或不同的防病毒设置(当然只有在AVpipe理程序使用AD时) – 无需重新组织,并且希望不必打开可以作为回环处理的蠕虫。
我还发现,不要使用内置的用户或计算机组,而不是使用任何技术问题,只是为了让您能够轻松地看到事物不应该在哪里。
最后,把你的服务器分开,我已经去了一个地方/angular色,似乎工作得很好。
现在已经有了答案,这是我的一个小例子,请记住,没有对错,这一切都取决于需求 – 即组织或位置优先? 我更喜欢组织angular色,即使对于计算机/服务器angular色。 我也喜欢指出一个单一的OU来获取所有的员工,并且没有垃圾来填充Intranet员工列表。 随意编辑!
在这种情况下,我只是将它们按位置分开。 生成的OU结构看起来像这样:
Location1 -Computers -Groups -Users Location2 -Computers -Groups -Users 等等
我并不认为有必要在这里进行进一步的划分,例如按部门划分,因为这会产生额外的pipe理费用,而没有真正的回报。 按位置分割将使您能够在每个站点执行委派。
我使用的指南是:用户; 按照人力资源stream量组织组织; 根据工作stream程组织电脑; 根据地理位置组织
在这个线程中的其他答案也是非常好的。